Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,%WINDIR%\system\csrss.exe,'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\system\csrss.exe'
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' %WINDIR%\temp\hrl144.tmp -r -s -h
- '<SYSTEM32>\attrib.exe' %WINDIR%\tasks\csrss.exe -r -s -h
- '<SYSTEM32>\attrib.exe' %WINDIR%\tasks\TespayServer.exe -r -s -h
- '<SYSTEM32>\attrib.exe' %WINDIR%\system\Fun.exe -r -s -h
- '<SYSTEM32>\attrib.exe' <SYSTEM32>\tmp830.exe -r -s -h
- '<SYSTEM32>\attrib.exe' %WINDIR%\\temp\hrl4B.tmp -r -s -h
- '<SYSTEM32>\attrib.exe' <DRIVERS>\etc\hosts -r -s -h
- '<SYSTEM32>\attrib.exe' <DRIVERS>\etc\hosts.ics -r -s -h
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\\system\del.bat
- '<SYSTEM32>\attrib.exe' %WINDIR%\temp\svohcst.exe -r -s -h
- '<SYSTEM32>\attrib.exe' <SYSTEM32>\nate*.gif -r -s -h
- '<SYSTEM32>\attrib.exe' <DRIVERS>\etc\hosts_tmp -r -s -h
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\system\del.bat
- %WINDIR%\system\csrss.exe
Удаляет следующие файлы:
- <DRIVERS>\etc\hosts
- %WINDIR%\system\csrss.exe
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'IEFrame' WindowName: '(null)'
- ClassName: 'DBL' WindowName: 'DBL'
- ClassName: 'DBL1' WindowName: 'DBL1'
